Vazamentos de dados: um problema que custa caro às empresas brasileiras

Os dados pessoais e corporativos são um dos ativos mais valiosos das empresas em 2024, cenário que permanecerá em 2025. É por isso que o vazamento dessas informações representa mais do que um risco técnico – trata-se de um incidente de segurança que repercute profundamente na saúde financeira e reputação das marcas. Além dos potenciais gastos com as sanções previstas na LGPD (Lei Geral de Proteção de Dados), que podem chegar a 2% do faturamento ou R$ 50 milhões de multa por infração, as companhias alvos de vazamentos enfrentam custos ocultos, muitas vezes subestimados, com a recuperação de sistemas e danos intangíveis à imagem e às relações com o público externo.

Empresas brasileiras chegam a perder, em média, R$ 6,75 milhões por violação de dados, segundo o relatório Cost of a Data Breach 2024, elaborado e divulgado pela IBM. Porém, na prática, esse impacto é ainda maior, pois as brechas na proteção de informações sensíveis geram prejuízos com outras consequências, além das legais, como evasão de clientes que migram para concorrentes com políticas de segurança mais robustas, interrupção das operações, investimentos emergenciais com relações públicas e cibersegurança para mitigar a crise.

Segundo o  advogado Marco Zorzi, especialista em Direito Digital do escritório Andersen Ballão Advocacia, o avanço da aplicação da LGPD e as normas mais recentes sobre tratamento de dados exigem adequações à sistemática de transparência e segurança. A prevenção começa com a identificação dos dados a serem tratados na rotina da empresa – quais informações estão envolvidas, onde são armazenadas e com quem são compartilhadas. “Somente com as medidas para mapear esse fluxo é possível fortalecer a prevenção e agir de forma imediata e eficiente diante de incidentes de segurança. E isso envolve esforços, sobretudo, das equipes jurídica e de TI”, afirma Zorzi.

Vale destacar que além da multa e advertência, o descumprimento das diretrizes da LGPD pode resultar em suspensão por até seis meses dos bancos de dados pessoais da empresa, publicidade da infração e proibição do exercício de atividades de tratamento das informações, que pode ser total ou parcial.

Segundo o especialista, os novos regulamentos da ANPD (Autoridade Nacional de Proteção de Dados) sobre o papel do Encarregado, a comunicação de incidentes de segurança e a transferência internacional de dados elevam o padrão de responsabilidade corporativa.

ATAQUES HACKERS

A urgência de reconhecer riscos e agir de forma preventiva foi reforçada pela decisão da 3ª Turma do Superior Tribunal de Justiça (STJ), que responsabilizou a Eletropaulo por vazamento de dados decorrente de invasão hacker.

O tribunal concluiu que, mesmo em casos de ataque criminoso, a obrigação da empresa de proteger os dados permanece intacta. A decisão baseou-se nos artigos 19 e 43 da LGPD, que determinam a adoção de medidas técnicas e administrativas adequadas para resguardar os dados.